Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Nombre ANGELA BIVIANA CARVAJAL MANCHEGO Fecha 1 DE

Anuncio 
Nombre
Fecha
Actividad
Tema
ANGELA BIVIANA CARVAJAL MANCHEGO
1 DE NOVIEMBRE DEL 2012
ACTIVIDAD 3
ATAQUES Y SOLUCIONES
PREGUNTAS INTERPRETATIVAS
1. Existe una relación directa entre las vulnerabilidades y el algoritmo P-C. En el
“denial of service”, por ejemplo, existen diferentes maneras de llevar a cabo
esta vulnerabilidad. ¿Cómo se relacionan estas maneras de llevar a cabo las
vulnerabilidades con el algoritmo P-C? Realice un informe para los técnicos de
mantenimiento en el que explique esta situación.
Informe “Denial of service “En los sistemas de comunicación existente en nuestra
compañía, se debe tener claro que el algoritmp-PC debe protegerse, el cual consiste en
que la información que se produce (productor) sea exclusivamente dirigida y
totalmente consumida por el destinatario o consumidor de la información autorizado.
Existen diversas formas de atacar este sistema de comunicación que denominamos
algoritmo-PC, donde los ataques pueden interrumpir este servicio, bien sea atacando
al productor de la información, o al consumidor de la información, consumiendo sus
propios recursos como son el espacio en disco por gusanos o información basura,
Consumo de procesamiento y de la memoria RAM, causado por virus, interrumpiendo
de esta forma el servicio de acceso a los archivos de información. Otra forma en que se
pueden recibir ataques es en la interrupción de los medios de comunicación, situación
que los crackers logran a nivel lógico y físico mediante sistemas que aumentan el
tráfico de la red, consumiendo ancho de banda y de cierta forma se interpone en el
algoritmo-PC, por eso debemos estar atentos y utilizar las herramientas que detectan
estos ataques, para evitarlos, denegando servicios e implantando controles de
seguridad. Es importante entender que las contraseñas de los login de red y de los
accesos a los equipos de comunicación que intervienen en la red, en el sistema de
algoritmo-PC, deben ser protegidos y todos deben tener seguridad para el acceso
lógico, con claves complejas, para los enrutadores, switch, Bridge, Access Point y
demás equipos de comunicación que intervienen en este sistema. Se recomienda
estar atentos, a este tipo de ataques, para que sea reportado a tiempo y podamos
establecer controles. Igualmente el acceso a los Centros de Datos, centros de
Distribución y Centros de Cableado, deben ser restringido y existir una planilla donde
se registre el ingreso autorizado para las personas que por algún motivo,
mantenimiento, soporte, etc. Accedan físicamente a intervenir estos dispositivos de
red. Es posible recibir ataques donde la configuración de estos dispositivos puede ser
afectada; por esto es necesario estar atentos a informar y a vigilar nuestro sistema de
red de comunicación.
2. “Toda herramienta usada en la administración de una red, es potencialmente
maligna y potencialmente benigna”. Interprete esta afirmación y agregue, a su
manual de procedimientos, una cláusula en la que haga pública esta
observación. Tenga en cuenta la división de puestos de trabajo explicada en
unidades anteriores.
Una red no es totalmente segura, siempre va a tener vulnerabilidades, para lograr
establecer controles que permitan aumentar en cierta forma la seguridad de la misma,
debo conocer las debilidades de mi red, la cual se logra mediante el uso de
herramientas que simulen los ataques, obtención de passwords, obtener la
información de los paquetes que viajan en la red, desencriptar información, alterar
configuraciones y otras series de pruebas que se logran con estas herramientas, para
obtener información de mi red y que conocemos, que lo hacen los Hackers; para una
vez conocidas mis debilidades, implantar los controles, que aseguren la operatividad
de mi red. Estas mismas herramientas son potencialmente benignas para proteger mi
red de posibles ataques, pero a la vez puede convertirse en herramientas
potencialmente malignas, ya que igualmente pueden ser utilizadas por los crackers,
que no buscan otra cosa que el hurto de la información o destrucción de la misma. Así
que es necesario controlar muy bien el uso de estas herramientas al interior de la
compañía, la cual debe realizarse con un protocolo formal, donde estén enterados y
quede registro de las personas que utilizan este tipo de herramientas, las cuales deben
estar autorizadas y vigiladas. Cláusula “Se tiene categóricamente prohibido, el uso de
herramientas de monitoreo de red, como sniffers, software de análisis de tráfico de
red y sus derivados, por personal no autorizado. Está totalmente prohibida la
instalación de aplicaciones Free (Gratis), en los equipos de la compañía, todo software
debe ser revisado y homologado por el equipo de seguridad de la información de la
compañía, antes de instalarse en los equipos propios. Está prohibido igualmente que
los equipos de cómputo de personal tercero, o de uso personal de los empleados, se
conecten a la red interna de la empresa; y solo se permitirá el uso de los equipos en
nuestra red, los que se encuentren avalados por el Área de Tecnología, el cual se
somete a un check- list, que verifique la protección del equipo, contra el malware,
antivirus, etc, .para que pueda ser utilizado en nuestra red. La utilización de
herramientas de seguridad en las redes, deben estar autorizados por el jefe de
tecnología, los integrantes del comité de Seguridad de la Información, el auditor
externo de la empresa y vigilado por el mismo personal de Seguridad durante su
operación en la red”.
PREGUNTAS INTERPRETATIVAS
1. Seleccione las herramientas que considere necesarias para usar en su red de
datos, que permitan generar un control de acceso. Tenga en cuenta que estas
herramientas seleccionadas deberán ir incluidas en el manual de
procedimientos. Por esta razón, cree el procedimiento de uso de cada una de
las herramientas seleccionadas.
Para los email-Bombing y Spamming, es indispensable analizar los logísticos de los
tamaños de los buzones de correo, un incremento abrupto puede significar ataques
por Spamming o Email-Bombing, esto también puede identificar si un equipo de
nuestra red está generando mensajes a otros, o si en nuestras máquinas estamos
recibiendo mensajes de fuentes externas. Los logísticos que revelen recurrencias de
ataques a equipos comunes, indicará que este equipo puede estar vulnerable, por
tratarse de un interés especial de los atacantes, por eso debe tenerse en cuenta, para
aumentar su protección. Se debe también tener un logístic, de los tamaños de disco
duro de las máquinas y determinar si existen crecimientos anormales que pueden
indicar ataques y pueden ser prevenidos. Para el caso de Deniel of Services, los
logísticos de consumo de ancho de banda, sus aumentos inesperados, pueden indicar
un problema de ataques en la red, igualmente los equipos que tengan alto consumo de
procesamiento o de recursos en el disco duro, puede indicarnos en estos logísticos
pueden existir ataques a nuestro sistema. Los Logísticos que dejan los Sniffer o
analizadores de protocolos de red, puede indicarnos, si se utilizan herramientas que
monitoreen la red que no estén autorizados y pueden estar realizando ataques. El
tráfico en la red genera logísticos, que pueden ser graficados para observar y analizar
utilización de red, previniendo al administrador de la red, de posibles ataques por
inundación de paquetes UDP o ICMP.Los logísticos de los sistemas de antivirus, puede
indicarnos, si el antivirus está desactualizado, o si se detecta en ciertos equipos, un
aumento de actividad del antivirus, que nos indican que un equipo se encuentra
vulnerable o no, a ataques por gusanos, o troyanos, lo mismo aplicaría para los
Antimalware y los Antispam.Los logísticos que muestran o guardan los equipos de
comunicación, como los Routers, Switch, Bridge, Firewall, etc., que muestran los
accesos y cambios en las configuraciones de los mismos ayudan a controlar la
seguridad de los mismos.
2. ¿Qué tan útiles o perjudiciales pueden ser los demonios en su red? Realice un
informe en el que explique el porqué se deben instalar demonios en el sistema
de comunicación de la empresa, cuáles y por qué.
Los demonios o Daemon, son tipos de procesos especiales, no interactivos, que se
ejecutan en segundo plano, esto es claro, pero si no está controlado, puede ser
perjudicial, para nuestro sistema. Por eso los Daemon deben ser controlados
directamente por el usuario. Al ejecutarse de manera infinita o continua, es decir que
aunque se intente cerrar o matar el proceso, éste continuará en ejecución o se
reiniciará automáticamente. Es importante que estos procesos se instalen en la
empresa, ya que al correr de manera silenciosa o por debajo del sistema, no va a
intervenir en los procesos visuales del usuario, también no hacen uso de las entradas y
salidas estándar para comunicar errores o registrar su funcionamiento, sino que usan
archivos del sistema en zonas especiales, como también se pueden utilizar los
demonios especializados en los registros como el Syslogd, que pueden guardar
logísticos importantes que ayuden a prevenir o controlar nuestra red. Un Daemon
Cronológico como el CRON, realiza tareas programadas como el mantenimiento del
sistema en segundo plano. Estará permitido el uso de la herramienta telnet, que
servirá para la configuración de enrutadores y otros dispositivos de comunicación,
aunque se establece como recomendación en la manera en que se pueda, realizar las
configuraciones de los equipos en mención a través de conexiones por el puerto de
consola que traen los equipos.
PREGUNTAS PROPOSITIVAS
1. Seleccione las herramientas que considere necesarias para usar en su red de
datos, que permitan generar un control de acceso. Tenga en cuenta que estas
herramientas seleccionadas deberán ir incluidas en el manual de
procedimientos. Por esta razón, cree el procedimiento de uso de cada una de
las herramientas seleccionadas.
De acuerdo a las herramientas vistas, escogería para usar en mi red de datos las
siguientes del cual incluyo el procedimiento propuesto en la actividad, para el manual
de procedimientos.Tcp-wrappersEl uso de la herramienta TCP-wrappers, tendrá
como función principal: proteger a los sistemas de conexiones no deseadas a
determinados a nuestros servicios de red, permitiendo a su vez ejecutar
determinados comandos previamente programados como acciones de forma
automática, los cuales son avalados y autorizados por el Comité de Seguridad de la
Información, conformados por el representante de TI, Oficial de Seguridad de la
Información, el auditor Interno de TI, y auditor externo de la compañía. Cualquier
cambio de la configuración de esta herramienta, y nuevas acciones automáticas que
se requieran incluir, deberá someterse nuevamente a la autorización del comité de
SI.Netlog Este software, estará permitido instalar en los servidores indicados por el
área de Tecnología de la Información, para generar trazas referentes a servicios
basados en IP (TCP, UDP) e ICMP, así como tráfico en la red. La ejecución de estas
aplicaciones en Modo Promiscuo, deberá ser autorizada por el comité de Seguridad
de la Información, en los períodos establecidos en el manual de procedimientos; los
cuales no pueden alterarse sin la debida autorización. La ejecución de estos
programas debe ser vigilado por personal diferente al operador del software, por lo
cual debe hacerse auditorías sobre el uso de esta aplicación.Argus y SnifferEsta
herramienta está permitida usarse en nuestra empresa durante las auditorías de
sistemas, y en forma periódica de acuerdo a los eventos programados en el manual
de Procedimientos de Seguridad de la Información, el cual permitirá auditar el tráfico
IP que se produce en nuestra red, mostrándonos todas las conexiones del tipo
indicado que descubre de acuerdo al objeto del informe de auditoría que se esté
requiriendo en la organización. Se aclara que la aplicación, escucha directamente la
interfaz de red de la máquina y su salida quedará registrada en un archivo de trazas
o a otra máquina para allí ser leída, analizada y de manera controlada rendir los
informes respectivos... En la captura de paquetes IP se debe especificar condiciones
de filtrado como protocolos específicos, nombres de máquinas, de acuerdo al criterio
del auditor externo y el experto en comunicaciones que presentará el informe.NAP
de Microsoft (Network Access Protection)Estará per esta solución propietaria de
Microsoft, el cual Consta de una plataforma de aplicación pensada para ser
soportada por los sistemas operativos de la organización.Longhorn, estará corriendo
en Windows Server 2008 y clientes corriendo Windows 7NAP protegerá las redes y
dispositivos que componen la red aplicando políticas de confianza basadas en
requerimientos de salud que deben cumplir los dispositivos que componen nuestra
red. Los agentes que estarán corriendo en los servidores serán: Los siguientes son los
componentes de Microsoft NAP: · NAP Agente. Este mantendrá el estado de la salud
basado en entrada de las comunicaciones del SHA (sistema agente de salud) con el
Enforcement Client Component (cliente de la aplicación componentes). Este agente
crea el SOH (declaraciones de la salud) basándose sobre esta información. · System
Health Agent (SHA) Estará activo este agente de salud del sistema que soportará el
sistema de antivirus de la compañía. · Enforcement Client Components (EC) Estaran
soportando nuestra red pidiendo el tipo de acceso a la red, pasando el estado de
salud de la computadora a un punto de la aplicación.
2. De la misma manera que en el caso anterior, seleccione las herramientas que
usará para chequear la integridad de su sistema y realice el procedimiento de
uso de cada una de ellas.
Igualmente que el punto anterior a continuación, nombraré la herramienta que
utilizaría en mi empresa, para chequear la integridad del sistema, para lo cual también
describo
el
procedimiento
de
su
uso.
COPS
(Computer
Oracle
and
Password
System)
Esta herramienta estará permitida en nuestros sistemas, de forma controlada por el
comité de SI (seguridad de la Información y por todos los empleados que tengan
autorizado el acceso a la herramienta el cual chequeará los equipos de nuestra
organización basados en el sistema operativo UNIX relacionados con la seguridad.
Tiger
Se permitirá el uso de esta herramienta, por personal autorizado para chequear el
sistema para detectar problemas de seguridad. Una vez chequeado el sistema, el
archivo generado con toda la información recogida por el program, será analaizado por
el experto del área de Seguridad de la Información, para hacer el respectivo análisis de
vulnerabilidades.
Crack
Este paquete se empleará abiertamente en la empresa para permitir chequear el
archivo de contraseñas de nuestros equipos, y encontrar passwords triviales o poco
seguros.
El algoritmo de cifrado que empleará esta herramienta será: DES el cual va
comprobando a partir de reglas y de diccionarios las passwords que se encuentran en
el archivo de contraseñas, creando un archivo con todos los usuarios y palabras
descubiertas.
Se realiza una serie de pasadas sobre el archivo de contraseñas, aplicando la secuencia
de
reglas
especificadas
en
el
manual
de
procedimientos.
Tripwire
Para la comprobación de integridad de nuestros sistemas, estará autorizado utilizar
este software que comprueba la integridad de los sistemas de archivos y estará
disponible para que el administrador monitoree eventos, frente a modificaciones no
autorizadas.
Esta herramienta avisará al administrador de cualquier cambio o alteración de archivos
en la máquina. El programa crea una base de datos con un identificador por cada
archivo analizado y puede comparar, en cualquier momento, el actual con el registrado
en la base de datos, avisando ante cualquier alteración, eliminación o inclusión de un
nuevo archivo en el sistema de archivos.
Documentos relacionados
Actividad 3_CRS Alejandro Sarabia Arango
Actividad 3_CRS Alejandro Sarabia Arango
IT2DS2
IT2DS2
Descargar
Anuncio
Anuncio